Хакеры, подозреваемые в работе на российскую Cлужбу внешней разведки (СВР), атаковали десятки дипломатов, работающих в посольствах иностранных держав в Украине, с помощью фейкового рекламного объявления о продаже подержанного автомобиля. Как говорится в отчете аналитического агентства, занимающегося вопросами кибербезопасности, таким образом злоумышленники попытались взломать компьютеры своих жертв.
Агентство «Рейтер» ознакомилось с содержанием отчета, подготовленного компанией Palo Alto Networks, который должен быть опубликован в среду.
Широкомасштабная хакерская операция была направлена против дипломатов, работающих по меньшей мере в 22 из примерно 80 иностранных дипломатических миссий в Киеве, говорится в отчете исследовательского подразделения Unit 42, входящего в состав Palo Alto Networks.
Согласно отчету, в середине апреля 2023 года сотрудник Министерства иностранных дел Польши разослал по электронной почте в различные посольства объявление о продаже в Киеве подержанного седана BMW 5-й серии.
Польский дипломат, который отказался назвать свое имя из соображений безопасности, подтвердил роль, которую сделанная им рассылка невольно сыграла в кибератаке.
Хакеры из группировки APT29, также известной как Cozy Bear, перехватили и скопировали отправленный польским дипломатом графический файл, внедрили в него вредоносное программное обеспечение, а затем переправили его десяткам других иностранных дипломатов, работающих в Киеве, сообщили в Unit 42.
В 2021 году спецслужбы США и Великобритании идентифицировали APT29 как подразделение российской Службы внешней разведки России. В СВР не ответили на просьбу «Рейтер» прокомментировать хакерскую операцию.
В апреле польские органы контрразведки и кибербезопасности предупредили, что та же группировка провела «широкомасштабную разведывательную кампанию» против государств-членов НАТО, Европейского союза и Африки.
Исследователи из подразделения 42 смогли связать поддельный графический файл с СВР, потому что хакеры повторно использовали определенные инструменты и методы, ранее использовавшиеся российскими спецслужбами.
«Дипломатические миссии всегда представляют интерес для шпионажа, – говорится в отчете Unit 42. – Спустя 16 месяцев после вторжения России в Украину сбор разведданных об Украине и дипломатических усилия союзников почти наверняка является первоочередной задачей для российского правительства».
Польский дипломат сказал, что он отправил оригинал объявления в различные посольства в Киеве, и что кто-то перезвонил ему, потому что цена выглядела «привлекательной».
«Когда я стал уточнять, то понял, что они говорили о немного более низкой цене», – рассказал дипломат агентству «Рейтер».
Злоумышленники снизили цену BMW до 7,5 тысяч евро, пытаясь заинтересовать как можно большее число адресатов нажать на гиперссылку и в результате загрузить на свои компьютеры вирусную программу, предоставляющую хакерам удаленный доступ к зараженным устройствам.
Вредоносный код, по данным Unit 42, был внедрен в альбом с фотографиями подержанного BMW. Попытки открыть эти фотографии позволили бы вирусу заразить компьютер жертвы.
На данный момент неизвестно, сколько из 22 посольств, подвергшихся атаке, скомпрометировали свои сети.
Представитель Госдепартамента заявил, что в ведомстве «осведомлены об этой деятельности и, согласно анализу Управления кибербезопасности и технологической безопасности, атака не повлияла на системы или учетные записи Госдепартамента».
Форум